باگ در سيستم ميهن بلاگ (كشف شده توط خودم)

[Eblis-248]

سلام دوستان !

امروز هم روش رو به شما یاد میدم که برای هک وبلاگ های میهن بلاگه !!

روش کار هم اینطوریه که شما با یه اکونت کوچولو ( و صد البته محدود ) به کل پست های قبلی مسلط میشید

خوب باز هم میگم سایت به اصطلاح پادشاه هکرها ( ) با همین باگ هک شد !

خوب وقتی با یوزر محدود لوگین کردید برید و یک پست الکی بدید !

حالا بریدتو ارشیو ارسال ها و روی پستی که همین چند لحظه قبل دادید کلیک کنید !

توی قسمت بار به این ادرس میرید : http://www.mihanblog.com/Manager/Post.aspx?Edit=153

153 نشان دهنده پستی هست که من خودم چند لحظه پیش دادم !

یعنی 153 پستی که توی وبلاگ توسط من . مدیر وبلاگ و یا یوزرهای دیگه داده شده !

خوب حالا اگه میخواید به پستی که ادمین یا بقیه دادند فقط اون عدد رو عوض کنید
بعد رو Go كليك كن ميبيني كه صفحه اون متن اومد حالا تغييرش بده اگه سوالي داشتين بگين باي

[arashps]

سلام. خوب بود اما امیدوارم از این حرفم ناراحت نشید : این باگ برای اولین بار توسط شهروز یکی از اعضای شبگرد پیدا شد و تاپیکش هم هنوز داخل شبگرد هست که برای چندین ماه پیش هست.

[Payman62]

سلام.
حرف آرش تایید میشه.

[Eblis-248]

سلام از انتقاد شما بسيار متشكرم به خدا من نميدونستم كه اين تو شبگر هست و اين باگ رو همين جوري از روي كنجكاوي و فزولي كشف كردن ازم ببخشيد خبر نداشتم باي

[NabiKAZ]

من اصلا نفهمیدم با اینکار چه نتیجه ای میگیرید !!!؟
خب در واقع url صفحه ویرایش پست رو پیدا میکنید.
عدد پست رو هم که تغییر بدید پستهای خودتون ویرایش میکنید...
چطوری پست های دیگران ویرایش میشه ....!!؟
میشه بگید منظورتون چی بوده؟

[Eblis-248]

سلام عزيزم منضورم اينه كه من حالا پست 158 دادم يعني 158 تا پست هست حالا به صفحه هاي قبل تو وبلاگ يا همون صفحات ديگر مي روم و شما ره پست ادمين رو كشف ميكنم و ميزنم و تغيير ميدم يا اينكه بعد از من هر كسي پست بده و من پست اون رو تغيير ميدم مثل زير
Devilish Hackers Group
Hacked Bye Eblis-248
va...... اگه سولي داشتي بگو تا جواب بدم باي

[NabiKAZ]

سلام عزيزم منضورم اينه كه من حالا پست 158 دادم يعني 158 تا پست هست حالا به صفحه هاي قبل تو وبلاگ يا همون صفحات ديگر مي روم و شما ره پست ادمين رو كشف ميكنم و ميزنم و تغيير ميدم يا اينكه بعد از من هر كسي پست بده و من پست اون رو تغيير ميدم مثل زير
Devilish Hackers Group
Hacked Bye Eblis-248
va...... اگه سولي داشتي بگو تا جواب بدم باي

بازم متوجه نشدم !
شما با این روش تنها شماره پست خودتون رو پیدا میکنید. و لینکی که از طریق اون پست تغییر میکنه.
حالا درسته که اگر شماره پست رو تغییر بدید به پستهای دیگر دسترسی دارید، اما آیا این پستها پستهایی غیر از پستهای شماست؟!
زمانی که شما به این آدرس مراجعه میکنید:
http://www.mihanblog.com/Manager/Post.aspx?Edit=153
(میبینید که نام و نشانی از اسم وب لاگ شما نیست) پس ابتدا توسط مشخصه های لوگین که در غالب کوکی روی سیستم شما ذخیره شده است هویت شما و آیدی یا اسم وب لاگ شما استخراج و شناسایی می شود سپس چک میشود که آیا پست 153 در مورد شما وجود دارد یا خیر و اگر موجود بود آن را جهت ویرایش نمایش میدهد.
با این اوصاف شما هر عددی بجای 153 وارد کنید نهایتا امکان ویرایش پستهای اکونت خودتان را دارید نه اکونت کسه دیگری.
به عبارت دیگه این لینک مفهومش اینه که 153 تا پست وجود دارد و همه این 153 پست متعلق به شماست و شما ارسال کرده اید. حالا برای ویرایش اونها میخواید رو لینک ویرایش پستها کلیک کنید یا اینکه عدد مربوط به پست رو در آدرس بار مرورگر تغییر بدید.

میدونم چیزایی که گفتم رو میدونستید!
ولی اگر حرفای من رو قبول داشته باشید پس عملا روشی که شما گفتید اصلا صحیح نیست ، راستش یکم هم خنده دار میشه. مگر اینکه من اشتباه کرده باشم و منظور شما چیز دیگری بوده باشد !

منظورت هم از مثال نفهمیدم!

نبی

[Eblis-248]

عزيزم شما بايد از يك ولاگ كمك بخواهي و بهش بگي كه من با شما مي خواهم همكاري كنم تا اينجا فكر كنم تازه فهميدي بعد يك پست بيرپت ميفرستي تو وبلاگ بعد ميري تو اونجا كه اديت ميكني رو اديت پست كليك ميكني اين ليك مياد ولي با اين تفوت كه عدد آخرش فرق فكووله ممكنه50 يا 268 باشه يعني اينكه اگه 50 باشه 49 تا پست ديگه تو وبلاگ ارسال شده خوبه پس شما ميتوني شماره يكي از اون 49 تا رو بدي و پست رو اديت كني حالا فرداش مدير يك پست تو ولاگ ميده پس شده 51 عدد و پست مدير هم آخرين بيد پس پست مدير رو اديت مي كني يهني تو آدرسه ميزني 51 و مي توني پست مدير رو اديت كني
موفق باش خدانگهدار

[arashps]

نبی جان یه کم اشتب کردی!
ببین خلاصه موضوع این باگ اینه : شما یه وبلاگ داری یعنی ادمین وبلاگی. خوب؟ حالا من میام میگم من میخوام باهات همکاری کنم! شما برای من یه یوزر میسازی با دسترسی محدود . حالا فرض کن من یه یوزر دارم داخل وبلاگ شما که شما به من پرمیشن ادیت پستهای یوزرهای دیگه رو ندادید. حالا این باگ اینجا به دردم میخوره که میتونم از url به جای شماره پست خودم شماره پست شما رو وارد کنم و بعد میتونم پست شما رو ادیت کنم!!!!
توجه کن که این تغییر شماره باید از طریق url باشه. اگه همینجوری روی پست شما توی پنل کلیک کنم مینویسه : دسترسی نداری و ...
امیدوارم متوجه منظورم شده باشی فعلا...

[Eblis-248]

سلام arashps دمت گرم دستت درد نكنه كارت عالي بود راستي سايت تو از سيستم مامبو استفاده ميكنه و ماممبو هم باگ راده و تو سه سوت هك ميشه من فيلم آموزشي رو دام اگه خواهستي بگو تا بگذارم 9 MB هست باي

[arashps]

سلام. خواهش میکنم. آقا شما همه مامبو ها رو به یه چشم میبینی؟:d مگه ورژن مامبو ما رو میدونی؟